Automatisieren Sie die Aktualisierung und den Abschluss von Vergehen basierend auf dem SIR-Incident-Status

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die IBM QRadar -Integration verfügt über eine bidirektionale Schnittstelle, die es ermöglicht, bei Vergehen durch Vergehen Security Incidents zu erstellen und/oder mit relevanten Incident-Details wie Security Incident-Nummer und Zuweisung zu schließen Gruppe, Security Incident-URL usw.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn die Seite „Zusätzliche Optionen“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zusätzliche Optionenaus.
    2. Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung von Vergehen abzuschließen, wenn der Security Incident erstellt wird.
      Option oder FeldBeschreibung
      Aktualisiert Vergehen bei Erstellung des SIR-Incidents Wählen Sie diese Option aus, wenn Sie den Vergehensstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus dem Vergehen ein Security Incident erstellt wird. Dies kann sowohl für die ersten auslösenden Vergehen, die den Security Incident erstellen, als auch für aggregierte Vergehen erfolgen.
      Aktualisierung des anfänglichen Vergehensstatus Sie können folgende Optionen auswählen:
      • Offen: Der Status des Vergehens wird auf Offen gesetzt, und es wird ein Kommentar hinzugefügt, der angibt, dass für den Vergehen ein Security Incident erstellt wurde.
      • Ausgeblendet: Der Status des Vergehens wird auf Ausgeblendet festgelegt, und dieser Vergehen wird im Dashboard IBM QRadar ausgeblendet.
      Anfangskommentare, die an den Vergehen zurückgesendet werden Basierend auf der von Ihnen ausgewählten Phase werden hier die Anfangskommentare angezeigt, die in der Konsole IBM QRadar definiert sind.
      Schließen Sie Vergehen beim Abschluss des SIR-Incidents ab Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Vergehen verwenden möchten. Wenn der Security Incident in ServiceNow mit einem relevanten Abschlusscode geschlossen wird, wird der Vergehenstatus in IBM QRadar auf Geschlossen mit Abschlusskommentaren aktualisiert.
      Hinweis:
      Der für den Security Incident angegebene Abschlusscode muss dem im Dashboard IBM QRadar angegebenen Abschlussgrund entsprechen. Der Vergehen wird in IBM QRadar nur geschlossen, wenn ein entsprechender Abschlussgrund gefunden wird. Wenn kein entsprechender Grund gefunden wird, wird der Vergehen mit einem standardmäßigen Abschlusscode geschlossen.
      Abschlusskommentare, die an den Vergehen zurückgesendet wurden Die im Dashboard IBM QRadar definierten Abschlusskommentare werden hier angezeigt.
      Standard-Abschlussgrund, wenn ein Security Incident geschlossen wird Standardgrund für das Schließen eines Security Incident. Wenn ein Security Incident geschlossen wird, wird im Security Incident-Datensatz ein Abschlusscode (oder der Grund für das Schließen) angegeben, wenn der Abschlusscode nicht mit dem in angegebenen Abschlussgrund übereinstimmt das Dashboard IBM QRadar öffnen und versuchen, den Security Incident zu schließen, wird eine Fehlermeldung angezeigt. In solchen Fällen wird der hier angegebene Standardabschlussgrund verwendet, wenn der Security Incident geschlossen wird.

      IBM QRadar: Profil erstellen: Vergehen automatisieren
    3. Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen und das Profil in den Status Warten zu versetzen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um -Angriffe basierend auf Ihrer Planung aus der -Konsole IBM QRadar abzurufen.